建立加入自我管理 Active Directory 的檔案系統失敗

建立加入自我管理 Active Directory 的檔案系統失敗 - Amazon FSx for Windows File Server




建立加入自我管理 Active Directory 的檔案系統失敗,並顯示下列錯誤訊息:

File system creation failed. Amazon FSx is unable to apply your Microsoft Active Directory configuration with the 
specified file system administrators group. Please ensure that your Active Directory does not contain multiple domain 
groups with the name: domain_group.

Amazon FSx未建立檔案系統,因為網域中有多個管理員群組具有相同的名稱。

如果您未指定群組名稱,Amazon FSx將嘗試使用預設值「網域管理員」做為管理員群組。如果有一個以上的群組使用預設的「網域管理員」名稱,則請求會失敗。


  1. 檢閱將檔案系統加入自我管理 Active Directory 的先決條件

  2. 在建立加入自我管理 Active Directory 的 FSx for Windows File Server 檔案系統之前,請使用 Amazon FSx Active Directory 驗證工具來驗證自我管理的 Active Directory 組態。

  3. 使用 AWS Management Console 或 建立新的檔案系統 AWS CLI。如需詳細資訊,請參閱將 Amazon FSx 檔案系統加入自我管理的 Microsoft Active Directory 網域

  4. 提供在自我管理 Active Directory 的網域中唯一之檔案系統管理員群組的名稱。

DNS 伺服器或網域控制站無法連線

建立加入自我管理 Active Directory 的檔案系統失敗,並顯示下列錯誤訊息:

Amazon FSx can't reach the DNS servers provided or the domain controllers for your self-managed directory in Microsoft Active Directory. 
File system creation failed. Amazon FSx is unable to communicate with your Microsoft Active Directory domain controllers. 
This is because Amazon FSx can't reach the DNS servers provided or domain controllers for your domain. 
To fix this problem, delete your file system and create a new one with valid DNS servers and networking configuration that allows 
traffic from the file system to the domain controller.


  1. 確認您遵循在建立 Amazon FSx 檔案系統的子網路與自我管理 Active Directory 之間建立網路連線和路由的先決條件。如需詳細資訊,請參閱必要條件

    使用 Amazon FSx Active Directory 驗證工具來測試和驗證這些網路設定。


    如果您定義了多個 Active Directory 網站,請確定與 Amazon FSx 檔案系統VPC相關聯的 子網路是在 Active Directory 網站中定義,而且 中的子網路VPC與其他站台中的子網路之間不存在 IP 衝突。您可以使用 Active Directory 網站和服務MMC嵌入來檢視和變更這些設定。

  2. 確認您已設定與 Amazon FSx 檔案系統相關聯的VPC安全群組,以及任何VPC網路 ACLs,以允許所有連接埠上的傳出網路流量。


    如果您想要實作最低權限,您只能允許傳出流量到與 Active Directory 網域控制站通訊所需的特定連接埠。如需詳細資訊,請參閱 Microsoft Active Directory 文件

  3. 確認 Microsoft Windows 檔案伺服器或網路管理屬性的值不包含non-Latin-1 字元。例如,如果您使用 Domänen-Admins做為檔案系統管理員群組的名稱,則檔案系統建立會失敗。

  4. 確認您的 Active Directory 網域的DNS伺服器和網域控制站處於作用中狀態,並且能夠回應所提供網域的請求。

  5. 請確定 Active Directory 網域的功能層級是 Windows Server 2008 R2 或更高版本。

  6. 請確定 Active Directory 網域網域控制站上的防火牆規則允許來自 Amazon FSx 檔案系統的流量。如需詳細資訊,請參閱 Microsoft Active Directory 文件


建立加入自我管理 Active Directory 的檔案系統失敗,並顯示下列錯誤訊息:

Amazon FSx is unable to establish a connection with your Microsoft Active Directory domain controllers 
because the service account credentials provided are invalid. To fix this problem, delete your file 
system and create a new one using a valid service account.


  1. 確認您在自我管理 Active Directory 組態中,只輸入使用者名稱做為服務帳戶使用者名稱的輸入ServiceAcct,例如 。


    輸入服務帳戶使用者名稱時,請NOT包含網域字首 (corp.com\ServiceAcct) 或網域尾碼 (ServiceAcct@corp.com)。

    輸入服務帳戶使用者名稱 (CN=ServiceAcct,OU=example,DC=corp,DC=com) 時,請務必NOT使用辨別名稱 (DN)。

  2. 確認您所提供的服務帳戶存在於 Active Directory 網域中。

  3. 請確定您已將所需的許可委派給您所提供的服務帳戶。服務帳戶必須能夠建立和刪除您加入檔案系統的網域中 OU 中的電腦物件。服務帳戶至少也需要具有執行下列動作的許可:

    • 重設密碼

    • 限制帳戶讀取和寫入資料

    • 驗證寫入DNS主機名稱的能力

    • 已驗證能夠寫入服務主體名稱

    如需建立具有正確許可的服務帳戶的詳細資訊,請參閱Amazon FSx服務帳戶


建立加入自我管理 Active Directory 的檔案系統失敗,並顯示下列錯誤訊息:

Amazon FSx is unable to establish a connection with your
Microsoft Active Directory domain controllers. This is because the service account provided does not 
have permission to join the file system to the domain with the specified organizational unit. 
To fix this problem, delete your file system and create a new one using a service account with 
permission to join the file system to the domain with the specified organizational unit.


  • 請確定您已將所需的許可委派給您所提供的服務帳戶。服務帳戶必須能夠建立和刪除您加入檔案系統的網域中 OU 中的電腦物件。服務帳戶至少也需要具有執行下列動作的許可:

    • 重設密碼

    • 限制帳戶讀取和寫入資料

    • 驗證寫入DNS主機名稱的能力

    • 已驗證能夠寫入服務主體名稱

    如需建立具有正確許可的服務帳戶的詳細資訊,請參閱Amazon FSx服務帳戶


建立加入自我管理 Active Directory 的檔案系統失敗,並顯示下列錯誤訊息:

Amazon FSx can't establish a connection with your Microsoft Active Directory
domain controllers. This is because the service account provided has reached the
maximum number of computers that it can join to the domain. To fix this problem,
delete your file system and create a new one, supplying a service account that
is able to join new computers to the domain.

若要解決此問題,請確認您提供的服務帳戶已達到可加入網域的電腦數量上限。如果達到上限,請建立具有正確許可的新服務帳戶。使用新的服務帳戶並建立新的檔案系統。如需詳細資訊,請參閱Amazon FSx服務帳戶

Amazon FSx無法存取組織單位 (OU)

建立加入自我管理 Active Directory 的檔案系統失敗,並顯示下列錯誤訊息:

Amazon FSx can't establish a connection with your Microsoft Active Directory domain controller(s). 
This is because the organizational unit you specified either doesn't exist or isn't accessible 
to the service account provided. To fix this problem, delete your file system and create a new one specifying an 
organizational unit to which the service account can join the file system.


  1. 確認您提供的 OU 位於 Active Directory 網域中。

  2. 請確定您已將所需的許可委派給您所提供的服務帳戶。服務帳戶必須能夠在您加入檔案系統的網域中,在 OU 中建立和刪除電腦物件。服務帳戶至少也需要具有執行下列動作的許可:

    • 重設密碼

    • 限制帳戶讀取和寫入資料

    • 驗證寫入DNS主機名稱的能力

    • 已驗證能夠寫入服務主體名稱

    • 受委派控制以建立和刪除電腦物件

    • 驗證讀取和寫入帳戶限制的能力

    如需使用正確許可建立服務帳戶的詳細資訊,請參閱 Amazon FSx服務帳戶


建立加入自我管理 Active Directory 的檔案系統失敗,並顯示下列錯誤訊息:

Amazon FSx is unable to apply your Microsoft Active Directory configuration. This is because the file system 
administrators group you provided either doesn't exist or isn't accessible to the service account you 
provided. To fix this problem, delete your file system and create a new one specifying a file 
system administrators group in the domain that is accessible to the service account 


  1. 請確定您僅提供群組的名稱,做為管理員群組參數的字串。


    提供群組名稱參數時,請NOT包含網域字首 (corp.com\FSxAdmins) 或網域尾碼 (FSxAdmins@corp.com)。

    請為 群組NOT使用辨別名稱 (DN)。辨別名稱的範例為 CN=FSxAdmins,OU=example,DC=corp,DC=com。

  2. 確定提供的管理員群組與您要加入檔案系統的目標位於相同的 Active Directory 網域中。

  3. 如果您未提供管理員群組參數,Amazon FSx會嘗試在您的 Active Directory 網域中使用Builtin Domain Admins群組。如果此群組的名稱已變更,或者您使用不同的群組進行網域管理,則需要為群組提供該名稱。

網域中的 Amazon 連線FSx中斷

建立加入自我管理 Active Directory 的檔案系統失敗,並顯示下列錯誤訊息:

Amazon FSx is unable to apply your Microsoft Active Directory configuration. To fix this problem, delete your file system and create a new one 
meeting the pre-requisites described in the Amazon FSx user guide.

建立您的檔案系統時,Amazon FSx能夠連線到 Active Directory 網域的DNS伺服器和網域控制站,並將檔案系統成功加入您的 Active Directory 網域。不過,在完成檔案系統建立時,Amazon FSx失去與 或 網域成員資格的連線。使用下列步驟進行故障診斷並解決問題。

  1. 確保 Amazon FSx 檔案系統和 Active Directory 之間持續存在網路連線。此外,使用路由規則、VPC安全群組規則ACLs、VPC網路 和網域控制站防火牆規則,確保網路流量在它們之間繼續被允許。

  2. 請確定 Amazon FSx 為您 Active Directory 網域中的檔案系統建立的電腦物件仍然作用中,而且未被刪除或以其他方式操縱。


建立加入自我管理 Active Directory 的檔案系統失敗,並顯示下列錯誤訊息:

File system creation failed. Amazon FSx is unable to establish a connection with your Microsoft Active Directory domain controller(s). 
This is because the service account provided does not have permission to join the file system to the domain with the specified 
organizational unit (OU). To fix this problem, delete your file system and create a new one using a service account with permission 
to create computer objects and reset passwords within the specified organizational unit.



  • 獲委派控制,以建立和刪除您加入檔案系統之 OU 中的電腦物件

  • 在 OU 中擁有下列您加入檔案系統的許可:

    • 能夠重設密碼

    • 限制帳戶讀取和寫入資料的能力

    • 驗證寫入DNS主機名稱的能力

    • 已驗證能夠寫入服務主體名稱

    • 建立和刪除電腦物件的能力 (可委派)

    • 驗證讀取和寫入帳戶限制的能力

    • 修改許可的能力

    如需使用正確許可建立服務帳戶的詳細資訊,請參閱 Amazon FSx服務帳戶

用於建立參數的 Unicode 字元

建立加入自我管理 Active Directory 的檔案系統失敗,並顯示下列錯誤訊息:

File system creation failed. Amazon FSx is unable to create a file system within the specified
Microsoft Active Directory. To fix this problem, please delete your file system and create a new one
meeting the pre-requisites described in the FSx for ONTAP User Guide.

Amazon FSx 不支援 Unicode 字元。確認沒有任何建立參數具有 Unicode 字元,例如重音標記。這包括可以保留空白的參數,其中會自動填入預設值。請確定 Active Directory 中的對應預設值也不包含 Unicode 字元。

如果您在使用 Amazon 時遇到此處未列出的問題FSx,請在 Amazon FSx 論壇中提出問題,或聯絡 Amazon Web Services Support

